: Satu Server DNS di 10 Adalah 'Kerentanan Ringan'

Lebih dari 10 persen dari server DNS (Domain Name System) Internet masih rentan terhadap serangan peracunan cache, menurut worldwidesurvei nama-nama Internet yang menghadap publik.

Itu meskipun itu menjadi beberapa bulan sejak kerentanan diungkapkan dan perbaikan tersedia, kata ahli DNS Cricket Liu, yang perusahaannya, Infoblox, menugaskan survei tahunan.

"Kami memperkirakan ada 11,9 juta server nama di luar sana, dan lebih dari 40 persen memungkinkan rekursi terbuka, jadi mereka menerima pertanyaan dari siapa pun. Dari mereka, seperempat tidak ditambal. Jadi ada 1,3 juta nameserver yang sangat rentan, "kata Liu, yang merupakan wakil direktur arsitektur Infoblox.

[Bacaan lebih lanjut: Bagaimana cara menghapus malware dari Wind Anda berutang PC]

Server DNS lain mungkin mengizinkan rekursi, tetapi tidak terbuka untuk semua orang, sehingga mereka tidak diambil oleh survei, katanya.

Liu mengatakan kerentanan keracunan cache, yang sering dinamai Dan Kaminsky, peneliti keamanan yang mempublikasikan rinciannya pada bulan Juli, adalah asli: "Kaminsky dieksploitasi dalam beberapa hari setelah dipublikasikan," katanya.

Modul yang menargetkan kerentanan telah ditambahkan ke alat pengujian peretasan dan penetrasi Metasploit, contohnya. Ironisnya, salah satu server DNS pertama yang dikompromikan oleh serangan peracunan cache adalah salah satu yang digunakan oleh penulis Metasploit, HD Moore.

Untuk saat ini, penangkal kebocoran cache-keracunan adalah pengacakan port. Dengan mengirimkan permintaan DNS dari berbagai port sumber, ini menyulitkan penyerang menebak port mana yang mengirim data beracun.

Namun, ini hanya sebagian saja, Liu memperingatkan. "Port pengacakan mengurangi masalah tetapi tidak membuat serangan tidak mungkin," katanya. "Ini benar-benar hanya sementara dalam perjalanan ke pemeriksaan kriptografi, yang merupakan ekstensi keamanan DNSSEC.

" DNSSEC akan membutuhkan waktu lebih lama untuk menerapkannya, karena ada banyak infrastruktur yang terlibat - kunci manajemen, penandatanganan zona, penandatanganan kunci publik, dan sebagainya. Kami pikir kami mungkin melihat serapan yang nyata dalam adopsi DNSSEC tahun ini, tetapi kami hanya melihat 45 data DNSSEC dari satu juta sampel. Tahun lalu kami melihat 44. "

Liu mengatakan bahwa di sisi positif, survei itu muncul beberapa item berita baik. Misalnya, dukungan untuk SPF - kerangka kebijakan pengirim, yang memerangi e-mail spoofing - telah meningkat selama 12 bulan terakhir dari 12,6 persen dari zona sampel menjadi 16,7 persen.

Selain itu, jumlah sistem Microsoft DNS Server yang tidak aman yang terhubung ke Internet telah turun dari 2,7 persen dari total menjadi 0,17 persen. Liu mencatat bahwa sistem ini masih dapat digunakan di dalam organisasi, tetapi mengatakan yang penting adalah bahwa "orang-orang menghindar dari menghubungkan mereka ke Internet."

Ke depan, Liu mengatakan bahwa hanya organisasi dengan kebutuhan khusus untuk DNS rekursif terbuka server - dan kemampuan teknis untuk menjaga mereka dari banjir - harus menjalankannya.

"Saya ingin melihat persentase server rekursif terbuka turun, karena bahkan jika mereka ditambal mereka membuat penguat yang besar untuk penolakan -layanan serangan, "katanya." Kita tidak bisa singkirkan server rekursif, tetapi Anda tidak harus mengizinkan sembarang orang untuk menggunakannya. "